Segurança : Dispositivos de segurança Cisco PIX 500 Series

PIX/ASA: Conecte a única rede interna com o exemplo de configuração do Internet

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Interativo: Este documento oferece análise personalizada do seu dispositivo Cisco.


Índice


Introdução

Esta configuração de exemplo demonstra como estabelecer os dispositivos do Cisco Security (PIX/ASA) para o uso em uma única rede interna.

Para obter mais informações sobre da versão 7.x e mais recente da ferramenta de segurança PIX/ASA com redes internas múltiplas que conectam ao Internet (ou a uma rede externa) com o comando line interface(cli) ou o Security Device Manager adaptável (ASDM) 5.x e mais tarde, refira PIX/ASA 7.x e mais tarde: Conectando redes internas múltiplas com o exemplo de configuração do Internet.

Refira ASA 8.3(x): Conecte uma única rede interna ao Internet para obter mais informações sobre da configuração idêntica com a ferramenta de segurança adaptável de Cisco (ASA) com a versão 8.3 e mais recente.

Antes de Começar

Pré-requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nas versões de software e hardware abaixo.

  • Liberação de Software do firewall Cisco PIX 6.x e mais tarde

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se você estiver trabalhando em uma rede ativa, certifique-se de que entende o impacto potencial de qualquer comando antes de utilizá-lo.

Produtos Relacionados

Esta configuração pode igualmente ser usada com a ferramenta de segurança adaptável do Cisco 5500 Series, que executa a versão 7.x e mais recente.

Convenções

Para obter mais informações sobre das convenções de documento, refira convenções dos dicas técnicas da Cisco.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Para localizar informações adicionais sobre os comandos usados neste documento, utilize a Ferramenta Command Lookup (somente clientes registrados).

Diagrama de Rede

Este documento utiliza a instalação de rede mostrada no diagrama abaixo.

/image/gif/paws/10136/19a_update.gif

Nota: Os esquemas de endereçamento IP usados nesta configuração não são legalmente roteáveis na Internet. São os endereçosleavingcisco.com do RFC 1918, que foram usados em um ambiente de laboratório.

Configuração PIX 6.x

Este documento utiliza as configurações mostradas abaixo.

Se você tem a saída de um comando write terminal de seu dispositivo Cisco, você pode usar-se para indicar problemas potenciais e reparos. Para usar-se , você deve ser um cliente registrado, ser entrado, e ter o Javascript permitido.

Configuração PIX 6.3
PIX Version 6.3(3)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall


!--- Output Suppressed




!--- Enable logging. 


logging on


!--- Output Suppressed




!--- All interfaces are shutdown by default. 


interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 100full
mtu outside 1500
mtu inside 1500
mtu intf2 1500
ip address outside 10.165.200.226 255.255.255.224
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 127.0.0.1 255.255.255.255
no failover   
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address intf2 0.0.0.0
arp timeout 14400



!--- Output Suppressed




!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.



global (outside) 1 10.165.200.227-10.165.200.254 netmask 255.255.255.224




!--- Allow all internal hosts to use 
!--- the NAT or PAT addresses specified previously.



nat (inside) 1 0.0.0.0 0.0.0.0 0 0



!--- Define a default route to the ISP router.


route outside 0.0.0.0 0.0.0.0 10.165.200.225 1


!--- Output Suppressed


: end         
[OK]

Configuração do roteador
Building configuration...

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname R3640_out
!
!
username cisco password 0 cisco
!
!
!
!
ip subnet-zero
ip domain-name cisco.com
!
isdn voice-call-failure 0
!

!
interface Ethernet0/1
 ip address 10.165.200.225 255.255.255.224
 no ip directed-broadcast

!
ip classless
no ip http server
!
!
line con 0
 exec-timeout 0 0
 length 0
 transport input none
line aux 0
line vty 0 4
 password ww
 login
!
end

Configurar PIX/ASA 7.x e mais tarde

Nota: Os comandos não-padrão são mostrados em corajoso.

PIX/ASA
pixfirewall# sh run
: Saved
:
PIX Version 8.0(2)
!
hostname pixfirewall
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.165.200.226 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!


!--- Output Suppressed




!--- Enable logging.


logging enable




!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.



global (outside) 1 10.165.200.227-10.165.200.254 netmask 255.255.255.2244



!--- Allow all internal hosts to use 
!--- the NAT or PAT addresses specified previously.


nat (inside) 1 0.0.0.0 0.0.0.0 0 0



!--- Define a default route to the ISP router.


route outside 0.0.0.0 0.0.0.0 10.165.200.225 1


!--- Output Suppressed


: end

NOTA: Para obter mais informações sobre da configuração do NAT e da PANCADINHA no PIX/ASA, refira indicações PIX/ASA 7.x NAT e de PANCADINHA.

Para obter mais informações sobre da configuração das Listas de acesso no PIX/ASA, consulte toPIX/ASA 7.x: Redirecionamento de porta (transmissão) com nat, o global, estática e comandos access-list.

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

NOTA: Para obter mais informações sobre de como pesquisar defeitos o PIX/ASA, consulte para pesquisar defeitos conexões com o PIX e o ASA.

A Output Interpreter Tool (somente clientes registrados) oferece suporte a determinados comandos show, o que permite exibir uma análise da saída do comando show.

Nota: Antes de emitir comandos debug, consulte Informações importantes sobre comandos debug.

  • debug icmp trace - Exibe se as requisições de ICMP dos hosts alcançam o PIX. Para executar esta depuração, você precisa adicionar o comando conduit permit icmp any any à sua configuração. Entretanto, quando tiver concluído a depuração, remova qualquer comando conduit permit icmp para evitar riscos à segurança.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 10136